Konfigurieren von Microsoft-Cloudeinstellungen für die B2B-Zusammenarbeit
Wenn Microsoft Entra-Organisationen in separaten Microsoft Azure-Clouds zusammenarbeiten müssen, können sie Microsoft-Cloudeinstellungen verwenden, um die Microsoft Entra B2B-Zusammenarbeit zu ermöglichen. Die B2B-Zusammenarbeit ist zwischen den folgenden globalen und souveränen Microsoft Azure-Clouds verfügbar:
- Kommerzielle Microsoft Azure-Cloud und Microsoft Azure Government
- Kommerzielle Microsoft Azure-Cloud und Microsoft Azure, betrieben von 21Vianet
Um die B2B-Zusammenarbeit zwischen Partnerorganisationen in unterschiedlichen Microsoft Azure-Clouds einzurichten, vereinbaren die Partner miteinander, die B2B-Zusammenarbeit zu konfigurieren. In jeder Organisation führt ein Administrator die folgenden Schritte aus:
Er konfiguriert die Microsoft-Cloudeinstellungen, um die Zusammenarbeit mit der Cloud des Partners zu ermöglichen.
Er verwendet die Mandanten-ID des Partners, um den Partner zu suchen und zu den Organisationseinstellungen hinzuzufügen.
Er konfiguriert die Einstellungen für den eingehenden und ausgehenden Datenverkehr für die Partnerorganisation. Der Administrator kann entweder die Standardeinstellungen anwenden oder bestimmte Einstellungen für den Partner konfigurieren.
Nachdem jede Organisation diese Schritte abgeschlossen hat, ist die Microsoft Entra B2B-Zusammenarbeit zwischen den Organisationen aktiviert.
Hinweis
Für die Zusammenarbeit mit Microsoft Entra-Mandanten in einer anderen Microsoft-Cloud werden direkte B2B-Verbindungen nicht unterstützt.
Voraussetzungen
- Rufen Sie die Mandanten-ID des Partners ab. Um die B2B-Zusammenarbeit mit der Microsoft Entra-Organisation eines Partners in einer anderen Microsoft Azure-Cloud zu aktivieren, benötigen Sie die Mandanten-ID des Partners. In cloudübergreifenden Szenarien kann der Domänenname einer Organisation nicht für Suchvorgänge verwendet werden.
- Legen Sie die Zugriffseinstellungen für den eingehenden und ausgehenden Datenverkehr für den Partner fest. Durch die Auswahl einer Cloud in Ihren Microsoft-Cloudeinstellungen wird die B2B-Zusammenarbeit nicht automatisch aktiviert. Wenn Sie eine andere Microsoft Azure-Cloud aktivieren, wird standardmäßig die gesamte B2B-Zusammenarbeit für Organisationen in dieser Cloud blockiert. Sie müssen den Mandanten, mit dem Sie zusammen arbeiten möchten, zu Ihren Organisationseinstellungen hinzufügen. Ab diesem Zeitpunkt sind Ihre Standardeinstellungen nur für diesen Mandanten wirksam. Sie können weiterhin die Standardeinstellungen anwenden, oder die Einstellungen für den ein- und ausgehenden Datenverkehr für die Organisation ändern.
- Rufen Sie alle erforderlichen Objekt-IDs oder App-IDs ab. Wenn Sie Zugriffseinstellungen auf bestimmte Benutzer*innen, Gruppen oder Anwendungen in der Partnerorganisation anwenden möchten, müssen Sie sich vor dem Konfigurieren der Einstellungen an die Organisation wenden, um die erforderlichen Informationen zu erhalten. Erfragen Sie die Benutzerobjekt-IDs, Gruppenobjekt-IDs oder Anwendungs-IDs (Client-App-IDs oder Ressourcen-App-IDs), damit Sie Ihre Einstellungen korrekt festlegen können.
Hinweis
Benutzer aus einer anderen Microsoft-Cloud müssen mit ihrem Benutzerprinzipalnamen (UPN) eingeladen werden. Anmeldung per E-Mail wird derzeit nicht unterstützt, wenn Sie mit Benutzern aus einer anderen Microsoft-Cloud zusammenarbeiten.
Aktivieren der Cloud in Ihren Microsoft-Cloudeinstellungen
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Aktivieren Sie in Ihren Microsoft-Cloudeinstellungen die Microsoft Azure-Cloud, mit der Sie zusammenarbeiten möchten.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Microsoft Cloud-Einstellungen aus.
Aktivieren Sie die Kontrollkästchen neben den externen Microsoft Azure-Clouds, die aktiviert werden sollen.
Hinweis
Durch die Auswahl einer Cloud wird die B2B-Zusammenarbeit mit Organisationen in dieser Cloud nicht automatisch aktiviert. Sie müssen die Organisation hinzufügen, mit der Sie zusammenarbeiten möchten, wie im nächsten Abschnitt beschrieben.
Hinzufügen des Mandanten zu Ihren Organisationseinstellungen
Führen Sie die folgenden Schritte aus, um den Mandanten, mit dem Sie zusammen arbeiten möchten, zu Ihren Organisationseinstellungen hinzuzufügen.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Navigieren Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen, und wählen Sie dann Organisationseinstellungen aus.
Wählen Sie Organisation hinzufügen aus.
Geben Sie im Bereich Organisation hinzufügen die Mandanten-ID für die Organisation ein (die cloudübergreifende Suche nach Domänennamen ist derzeit nicht verfügbar).
Wählen Sie die Organisation in den Suchergebnissen und dann Hinzufügen aus.
Die Organisation wird in der Liste Organisationseinstellungen angezeigt. An diesem Punkt werden alle Zugriffseinstellungen für diese Organisation von Ihren Standardeinstellungen geerbt.
Wenn Sie die Einstellungen für den mandantenübergreifenden Zugriff ändern möchten, wählen Sie in der Spalte Zugriff auf eingehenden Datenverkehr oder Zugriff auf ausgehenden Datenverkehr den Link Geerbt von Standard aus. Führen Sie dann die detaillierten Schritte in den folgenden Abschnitten aus:
Endpunkte für die Anmeldung
Nach der Aktivierung der Zusammenarbeit mit einer Organisation aus einer anderen Microsoft-Cloud können cloudübergreifende Microsoft Entra-Gastbenutzer*innen sich nun mithilfe eines gemeinsamen Endpunkts (d. h. mit einer allgemeinen App-URL, die Ihren Mandantenkontext nicht enthält) bei Ihren mehrinstanzenfähigen Apps oder Microsoft-Erstanbieter-Apps anmelden. Beim Anmeldevorgang wählt der Gastbenutzer zuerst Anmeldeoptionen und dann Bei einer Organisation anmelden aus. Die Benutzer*innen geben dann den Namen Ihres Unternehmens ein und setzen den Vorgang mit ihren eigenen Microsoft Entra-Anmeldeinformationen fort.
Cloudübergreifende Microsoft Entra-Gastbenutzer*innen können auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://contoso.sharepoint.com/sites/testsite
Sie können cloudübergreifenden Microsoft Entra-Gastbenutzer*innen auch einen direkten Link zu einer Anwendung oder Ressource zur Verfügung stellen, indem Sie Ihre Mandanteninformationen einfügen, z. B. https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.
Unterstützte Szenarien mit cloudübergreifenden Microsoft Entra-Gastbenutzer*innen
Die folgenden Szenarien werden bei der Zusammenarbeit mit einer Organisation aus einer anderen Microsoft-Cloud unterstützt:
- Verwenden Sie die B2B-Zusammenarbeit, um einen Benutzer im Partnermandanten einzuladen, auf Ressourcen in Ihrer Organisation zuzugreifen, z. B. branchenspezifische Web-Apps, SaaS-Apps und SharePoint Online-Websites, -Dokumente und -Dateien.
- Verwenden Sie B2B Collaboration, um Power BI-Inhalte für Benutzer im Partnermandanten freizugeben.
- Wenden Sie Richtlinien für bedingten Zugriff auf B2B-Zusammenarbeitsbenutzer*innen an, und geben Sie an, dass die Multi-Faktor-Authentifizierung oder Geräteansprüche (konforme Ansprüche und hybride, in Microsoft Entra eingebundene Ansprüche) vom Basismandanten der Benutzer*innen als vertrauenswürdig gelten.
Hinweis
Das Aktivieren der SharePoint- und OneDrive-Integration mit Microsoft Entra B2B bietet die beste Möglichkeit zum Einladen von Benutzer*innen aus einer anderen Microsoft-Cloud zu SharePoint und OneDrive.
Nächste Schritte
Unter Konfigurieren der Einstellungen für externe Zusammenarbeit finden Sie Informationen zur B2B-Zusammenarbeit mit Microsoft Entra-fremden Identitäten, Identitäten sozialer Netzwerke und nicht von der IT verwalteten externen Konten.